SSL-Zertifikat in Chrome ungültig

Für die Website scirra.com ( klicken Sie hier, um die Testergebnisse für SSL Labs Server anzuzeigen ) meldet Google Chrome das folgende Symbol:

Es ist ein EV-SSL und scheint in Firefox und Internet Explorer gut zu funktionieren, aber nicht in Chrome. Was ist der Grund dafür?

Was Sie jetzt sehen, ist nicht die "grüne Adressleiste", die Sie mit einem EV-Zertifikat erwarten würden, sondern die folgende:

Der Grund dafür ist die folgende Ankündigung im Google Online Security-Blog :

Es ist bekannt, dass der kryptografische SHA-1-Hash-Algorithmus erheblich schwächer ist als seit mindestens 2005 - vor 9 Jahren. Kollisionsangriffe gegen SHA-1 sind zu erschwinglich, als dass wir sie für die öffentliche Web-PKI als sicher betrachten könnten. Wir können nur erwarten, dass Angriffe billiger werden.

Aus diesem Grund wird Chrome im November mit Chrome 39 den Prozess des Sonnenuntergangs von SHA-1 (wie er in Zertifikatsignaturen für HTTPS verwendet wird) starten. ... Websites mit End-Entity-Zertifikaten, die zwischen dem 1. Juni 2016 und einschließlich dem 31. Dezember 2016 ablaufen und eine SHA-1-basierte Signatur als Teil der Zertifikatskette enthalten, werden als "sicher, aber mit geringfügigen" behandelt Fehler “.

Das "sichere, aber mit geringfügigen Fehlern" wird durch das Warnzeichen im Vorhängeschloss angezeigt. Veraltete Sicherheitseinstellungen in der erweiterten Nachricht sind die Tatsache, dass das Zertifikat auf dem SHA-1-Hash-Algorithmus basiert.

Was Sie tun müssen, ist Folgendes:

Generieren Sie einen neuen privaten Schlüssel mit einem SHA-256-Hash und einer neuen Zertifikatsignierungsanforderung (Certificate Signing Request, CSR) und lassen Sie sich von Ihrem SSL-Anbieter ein neues Zertifikat ausstellen. Bei EV-Zertifikaten erfordert eine Neuausstellung in der Regel mehr oder weniger dieselben Rahmen, durch die Sie springen mussten, um das Zertifikat zu erhalten. Sie sollten jedoch ein neues Zertifikat erhalten, das bis zum gleichen Ablaufdatum des aktuellen Zertifikats ohne / mit geringen zusätzlichen Kosten gültig ist.

In openssl würden Sie so etwas wie die folgende Befehlszeile verwenden:

openssl req -nodes -sha256 -newkey rsa:2048 -keyout www.scirra.com.sha256.key -out www.scirra.com.sha256.csr

Dies liegt an Googles Sonnenuntergangsplan für SHA-1 .

• Es gibt keine unmittelbaren Sicherheitsbedenken.
• SHA-2 ist der derzeit empfohlene Hashing-Algorithmus für SSL. Es wurden keine Verstöße gegen Zertifikate unter Verwendung von SHA-1 gemeldet.
• Die Anzeige von verschlechterten UI-Indikatoren in Chrome 39 und höher ist Teil des SHA-1-Verfallsplans von Google und gilt für alle Zertifizierungsstellen.
• Die verschlechterte Benutzeroberfläche ist nur für Benutzer von Chrome 39 und höher sichtbar, nicht für frühere Versionen. Wenden Sie sich an Ihren SSL-Anbieter, nachdem Ihr Systemadministrator Ihren vorhandenen privaten Schlüssel (auf Ihrem Webserver) gefunden hat, und er führt eine kostenlose Neuausstellung des Zertifikats mit SHA-2 durch. Sie benötigen eine neue CSR.

Im Folgenden wird eine neue CSR unter OSX / Linux erstellt, wenn OpenSSL installiert ist (siehe Ihre vorhandenen SSL-Zertifikatfelder, da die Domäne (auch als "Common Name" bezeichnet)) gleich bleiben muss:

Linux / OSX:

openssl req -new -sha256 -key myexistingprivate.key -out newcsr.csr

Informationen zu Windows finden Sie in diesem TechNet-Artikel .

Zu diesem Zeitpunkt müssen Sie möglicherweise Ihren Anbieter um Hilfe bitten, wenn Sie keine Neuausstellungsoption über dessen SSL-Portal sehen. Auf der Comodo-Website wird detailliert beschrieben, wie dies zu tun ist, wenn dies nicht genügend Informationen für Sie sind.

Sobald das SHA-2-Zertifikat installiert ist, wird das in Chrome angezeigte "Problem" behoben.

Sie benötigen ein SHA2-Zertifikat, damit es verschwindet. Weitere Informationen zu SHA-1 mit allmählichem Sonnenuntergang